Reprise du message précédent :
c bizarre du met le forward a DROP et tu n'a aucune regle qui le mette en ACCEPT pour certaines machines et pourtant le masquerading marche ???

 
aucune trace de windows chez moi (ptet un vieu cd)
 
un lsmod donne ca:
 
ipt_limit                896   3  (autoclean)
ipt_LOG                 3328   2  (autoclean)
iptable_filter          1696   1  (autoclean)
ipt_MASQUERADE          1376   1  (autoclean)
iptable_nat            14004   1  (autoclean) [ipt_MASQUERADE]
ip_conntrack           14732   1  (autoclean) [ipt_MASQUERADE iptable_nat]
ip_tables              11616   7  [ipt_limit ipt_LOG iptable_filter ipt_MASQUERADE iptable_nat]
nfsd                   64544   1  (autoclean)
lockd                  46304   1  (autoclean) [nfsd]
sunrpc                 60820   1  (autoclean) [nfsd lockd]
ppp_synctty             5728   0  (unused)
ppp_async               7232   1
ppp_generic            15432   3  [ppp_synctty ppp_async]
slhc                    4960   0  [ppp_generic]
rtc                     6136   0  (autoclean)
 
rien d'anormal donc
 
le scan me donne les ports 21, 22 et 80 ouverts(normal)
 
les ports 23, 25, 79 en caches (23: c'est sur le pc de mon reseau local un ssh)
 
il me donne pleins d'autres ports en hidden (majoritairement ceux qui sont sur mon pc du reseau local)
 
le 1720 et 389 en font partie.
 

 
il marche parce que j'ai d'autres regles que je n'ai pas postees pour le forwarding.
 
je les mets ici si ca peut aide:
 
iptables -A FORWARD -o eth0 -d 192.168.0.1 -j ACCEPT
 
#protections en tout genre (idem svet)
iptables -A FORWARD -o eth0 -p icmp --icmp-type echo-request -m limit --limit 3/m -j LOG_ACCEPT
#autres...
 
#autoriser le dns
iptables -A FORWARD -o ppp0 -p tcp --dport 53 -d 194.117.200.10 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 53 -d 194.117.200.15 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 53 -d 194.117.200.10 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 53 -d 194.117.200.15 -j ACCEPT
 
#autoriser le chat
iptables -A FORWARD -o ppp0 -p tcp --dport 6667 -d chat1.voila.fr -j ACCEPT
 
#autoriser le surf(80 et 443), penser a filter la pub!!
iptables -A FORWARD -o ppp0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 443 -j ACCEPT
 
#autoriser le pop(mail)
iptables -A FORWARD -o ppp0 -p tcp --dport 110 -d pop.ifrance.com -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 110 -d pop.free.fr -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 110 -d pop.club-internet.fr -j ACCEPT
 
#autoriser le smtp
iptables -A FORWARD -o ppp0 -p tcp --dport 25 -d smtp.ifrance.com -j ACCEPT
 
voila

Y'a un mystère avec ces ports 1720 et 389 ...
Tu utilise l'IM (lesquels ?) ou de la visioconférence ou de la VoIP ?
 
EDIT : Et t'es pas le seul chez qui je vois ca ...  

Tu fais du port forwarding ?

 
non pas de port fowarding, c'est simplement les regles pour surfer depuis le reseau local.
 
pour les ports louches, je ne fais rien pas de visioconference, de voip?
 
l'IM c'est quoi ? (je pense pas que j'en fasse)

Instant Messaging, genre MSN Messenger ou AOL IM ou Yahoo IM ... etc ... VoIP = Voix sur IP, de la téléphonie sur Internet en gros ...

rien de tout ca
 
j'ai commence a modifier mes regles de forwarding quelque fois que ca change quelque chose

Sinon, à mon tour, qqun peut il essayer de me scanner pour que je vérifie un truc, IP = 193.252.204.218
Thx
 
 
EDIT : Y'a un Breton parmi vous ??  

Zzozo a écrit a écrit : Sinon, à mon tour, qqun peut il essayer de me scanner pour que je vérifie un truc, IP = 193.252.204.218 Thx     EDIT : Y'a un Breton parmi vous ??

 
tiens :
 

 
 
ben t'as rien ouvert ...
 
 
chui breton

j'ai essaye de changer quelques regles de firewall, mais rien de nouveau, ces ports restent ouverts !!

Ah bah en plus le fw t'a logué ... cé chouette ... par contre je me rappelle plus pourquoi j'ai ouvert les ports 1503 et 3389 ... faudra que je regarde mon script ...

 
tu peux nous montrer ton script ?
ça m'interesse de savoir comment t'as fait pour pas qu'il trouve ton OS

Cé un bo bordel ... je le dépoussière avant ...
et je le poste ...
Juste un truc comme ca ... je fais bcp appel au filtrage par MAC Address ...

 
ah bah ça explique pas mal de chose ...    
j'avoue que les adresses mac, je laisse ça de coté, c'est trop compliqué pour moi ...

si pour le port 389 t as po trouvé c ldap un anuuaire tres performant ...
 
mais je vois po pkoi tu la lancé
 
fais un ps -aux | grep slapd <-- c le demaon (openldap)

 
je suis sous lfs et j'ai pas de ldap....

byzarre alors que ce port soit ouvert !!!!

et un netstat --inet --listen -p -n ne donne rien ?

 
si ca:
 
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 0.0.0.0:32769           0.0.0.0:*               LISTEN      148/rpc.mountd
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      146/portmap
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      621/httpd
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      725/proftpd (accept
tcp        0      0 0.0.0.0:4662            0.0.0.0:*               LISTEN      378/donkey_s
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      156/sshd
tcp        0      0 0.0.0.0:4663            0.0.0.0:*               LISTEN      378/donkey_s
udp        0      0 0.0.0.0:2049            0.0.0.0:*                           -
udp        0      0 0.0.0.0:32769           0.0.0.0:*                           148/rpc.mountd
udp        0      0 0.0.0.0:32770           0.0.0.0:*                           -
udp        0      0 0.0.0.0:32772           0.0.0.0:*                           286/dns2go
udp        0      0 0.0.0.0:32773           0.0.0.0:*                           378/donkey_s
udp        0      0 0.0.0.0:111             0.0.0.0:*                           146/portmap
 

La seule explication qu'il me reste, c'est que le scan ait déclenché une réaction sur un des services (genre Ftp) qui a attribué un nouveau port pour le dialogue et ce port est l'un des ports "fantomes" détectés par la suite ... mé cé vachement tiré par les cheveux comme explication ...
Moi je dis, appelons Mulder et sa rouquine ... ...

les ports passifs ftp sont mappes de 65000 a 65535 donc je ne pense pas que ca soit ca....
 
 
bon ben je pense pas que ca soit une grosse breche de secu mais c chiant de ne pas savoir....la verite est ailleurs !

Zzozo a écrit a écrit :   La seule explication qu'il me reste, c'est que le scan ait déclenché une réaction sur un des services (genre Ftp) qui a attribué un nouveau port pour le dialogue et ce port est l'un des ports "fantomes" détectés par la suite ... mé cé vachement tiré par les cheveux comme explication ... Moi je dis, appelons Mulder et sa rouquine ... ...

 
moi je dis que c'est pas si con que ça et que s'il arrete portmap, ça fera plus    

 
stop portmap pour voir, je sens que ça vient de là
quand t'as stopper portmap, tu fais un netstat -ap --listen --inet pour que je vérifie si il te reste aucune merde, et je te referais un scan  

Ca dépend de la config du Ftp ... ca peut se fixer ...

 
C'est sensé être fiable comme site ?
(217.128.72.176)  

911GT3 a écrit a écrit :     C'est sensé être fiable comme site ? (217.128.72.176)

Ils testent pas tous les ports mais bon ... cé une première
étape on va dire ...
Il y a celui là dans le même style ...  
http://www.sygatetech.com/stealthscan.html
mais rien ne vaut un bon nmap, nessus ou superscan ...

je connais celui, c'est le plus complet que je connaisse mais il a une facheuse tendance à voir les ports une fois sur deux

Zzozo a écrit a écrit :   Ils testent pas tous les ports mais bon ... cé une première étape on va dire ... Il y a celui là dans le même style ...   http://www.sygatetech.com/stealthscan.html mais rien ne vaut un bon nmap, nessus ou superscan ...

 
moi je comprends pas pk tout ces petits sites à la con n'arretent pas de dire qu'il faut absolument que les ports soient hidden au lieu d'être closed ?    
ça change rien pour le hackers de toute façon, si ?

911GT3 a écrit a écrit : je connais celui, c'est le plus complet que je connaisse mais il a une facheuse tendance à voir les ports une fois sur deux

Cé tjrs la même chose ... ils règlent pas forcément bien les timeouts qui permettent de dire si le port est filtré ou pas ... ils privilégient la vitesse du scan au détriment de sa "précision" ...

djoh a écrit a écrit :     moi je comprends pas pk tout ces petits sites à la con n'arretent pas de dire qu'il faut absolument que les ports soient hidden au lieu d'être closed ?     ça change rien pour le hackers de toute façon, si ?

De toutes facons, dans un cas comme dans l'autre, ils se doutent bien qu'il y'a un fw en face ... tu peux lui dire de dropper les paquets ou lui dire d'envoyer un paquet RST pour forcer la fermeture de la connexion ... Y'a pe un truc marrant à faire la ... ... genre qd tu détectes des paquets à la con tu les forwardes chez Microsoft ... comme ca le mec scanne Billou ... faudrait voi si cé pas possible ca avec netfilter ...

911GT3 a écrit a écrit : je connais celui, c'est le plus complet que je connaisse mais il a une facheuse tendance à voir les ports une fois sur deux

 
moi, celui que j'utilisais quand j'ai monté mon firewall c'était :
http://www.dslreports.com/queue_security
mais là évidemment, je viens de réessayer et ça marche pas
 
m'enfin tout ces sites c'est vraiment très basic les test qu'ils font ... c'est pas ça qui va mettre ton firewall à rude épreuve
c'est tout juste bon pour rassurer les clients des produits commerciaux de merde fait pour windows genre zone alarm ...

djoh a écrit a écrit :     stop portmap pour voir, je sens que ça vient de là quand t'as stopper portmap, tu fais un netstat -ap --listen --inet pour que je vérifie si il te reste aucune merde, et je te referais un scan

 
ca donne ca:
 
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 *:www                   *:*                     LISTEN      621/httpd
tcp        0      0 *:ftp                   *:*                     LISTEN      725/proftpd (accept
tcp        0      0 *:4662                  *:*                     LISTEN      378/donkey_s
tcp        0      0 *:22                    *:*                     LISTEN      156/sshd
tcp        0      0 *:4663                  *:*                     LISTEN      378/donkey_s
tcp        0      0 lns15v-6-43.w.club:4662 AStrasbourg-206-1-:3723 CLOSE_WAIT  378/donkey_s
tcp        0      0 lns10m-10-101.w.c:33151 AAmiens-106-1-2-12:4662 TIME_WAIT   -
tcp        0      0 lns15v-6-43.w.club:4662 ARouen-102-1-1-218:4250 CLOSE_WAIT  378/donkey_s
tcp        0      0 lns15v-6-43.w.club:4662 lns06v-5-157.w.clu:3102 CLOSE_WAIT  378/donkey_s
tcp        0      0 lns15v-6-43.w.club:4662 AStrasbourg-206-1-:4921 CLOSE_WAIT  378/donkey_s
tcp        0      0 lns15v-6-43.w.club:4662 AStrasbourg-206-1-:4601 CLOSE_WAIT  378/donkey_s
tcp        0      0 lns15v-6-43.w.club:4662 APlessis-Bouchard-:1809 CLOSE_WAIT  378/donkey_s
tcp      449      0 lns10m-10-101.w.c:33142 APerpignan-101-1-1:4662 ESTABLISHED 378/donkey_s
tcp        0  16098 lns10m-10-101.w.c:33136 eps-gw-01-21324524:4662 ESTABLISHED 378/donkey_s
tcp        0      0 lns15v-6-43.w.club:4662 213.221.129.121:48320   CLOSE_WAIT  378/donkey_s
tcp        0      0 lns15v-6-43.w.clu:33032 213.221.129.121:4661    ESTABLISHED 378/donkey_s
tcp        0      0 Svet:22                 Apolon:32860            ESTABLISHED 1014/sshd
udp        0      0 *:32772                 *:*                                 286/dns2go
udp        0      0 *:32773                 *:*                                 378/donkey_s

Zzozo a écrit a écrit :   De toutes facons, dans un cas comme dans l'autre, ils se doutent bien qu'il y'a un fw en face ... tu peux lui dire de dropper les paquets ou lui dire d'envoyer un paquet RST pour forcer la fermeture de la connexion ... Y'a pe un truc marrant à faire la ... ... genre qd tu détectes des paquets à la con tu les forwardes chez Microsoft ... comme ca le mec scanne Billou ... faudrait voi si cé pas possible ca avec netfilter ...

 
ca srait fun en effet.... c'est surement possible avec du DNAT
 
tu changes la destination des paquets a la volee....ca serait interessant a mettre en place. (tu peux aussi retourner l'attaque du mec contre lui meme, fun aussi)
 
genre le script kiddie qui s'acharne sur un port netbios et qui se nique le sien tt seul...

 
ah ouai tiens, pas con pour le netbios ... mais j'ai aucune attaque sur le netbios moi, c'est bizarre ... (pourtant je log l'activité sur ce port et y-a jamais rien)

 
hors sujet:
Je voulais savoir ton dns2go marche bien ou pas, parce que chez moi il résout pas mon domaine, l'enfoiré

 
ca marche nikel chez moi
 
je lui ai juste autorise le port 1227 tcp/udp

 
ça me semble bon, j'ai relancé un scan sur l'ip que tu as donné dans ton premier post
 
HS : t'as pas bcp de connexions sur ton donkey didonc  

Oui cé ca ... sauf que le paquet tu le renvoies tout de suite sur le net pour pas qu'il soit filtré ... Cé une autre forme de "furtivité sur Internet ...
J'ai essayé ca aussi ... cé le module MIRROR de netfilter ... encore expérimental qd même ...

a bon j'autorise pas normalement ce port et ca marchait bien, c'est en state
 
c'est bon, fallait le relancer (c'est koi ce bug    )